Новости и события » Общество » С помощью медиаплеера VLC можно захватить чужой ПК

С помощью медиаплеера VLC можно захватить чужой ПК

С помощью медиаплеера VLC можно захватить чужой ПК

Обновление к популярному плееру VLC устраняет целый ряд проблем, которые могли приводить к падению плеера или запуску вредоносов. Воспользоваться багами никто не успел.

Проблемы плеера VLC

Разработчики популярного медиаплеера VLC устранили ряд уязвимостей, допускавших запуск произвольного кода в контексте текущего пользователя.

VLC - это свободный кроссплатформенный медиапроигрыватель, который проект VideoLAN разрабатывает с 1990-х годов. На сегодняшний день это один из самых популярных медиаплееров, поддерживающий огромное количество форматов воспроизведения и трансляции медиаконтента.

Проблемы, обнаруженные экспертом Чженем Чжоу (Zhen Zhou) из NsfocusSecurityTeam, представляют собой "классические" ошибки - переполнение буфера и недопустимые указатели.

Переполнение буфера - явление, возникающее, когда компьютерная программа записывает данные за пределами выделенной области в памяти. Подобные ошибки обычно возникают из-за неправильной работы с вводимыми данными и памятью. В результате переполнения могут быть испорчены данные, расположенные следом за буфером или перед ним.

Такая ошибка может вызывать аварийное завершение или зависание программы, ведущее к "отказу в обслуживании" (DoS), однако в некоторых случаях у злоумышленника появляется возможность загрузить и выполнить произвольный код от имени программы и с правами учетной записи, от которой она выполняется. Именно это и наблюдалось в случае с VLC. Причем в бюллетене безопасности упоминается, что были исправлены сразу две такие ошибки.

Кроме этого упоминается ошибка некорректного разыменования указателей (invalidpointerdereference). Это дефект, при котором программа обращается по некорректному указателю к какому-то участку памяти. Такое обращение приводит к сбою в поведении программы и в большей части случаев к ее аварийному завершению. Иногда следствием такого дефекта может становиться и переполнение буфера с вышеописанными последствиями.

Некоторые подробности уязвимостей

Эксплуатация этих ошибок в VLC возможна, если пользователь откроет в плеере специально подготовленный файл или подключится к стриму, созданному злоумышленниками. Плеер в таком случае либо "падает", либо у злоумышленников возникает возможность запустить произвольный код удаленно. Технологии ASLR и DEP снижают вероятность эксплуатации, но существуют способы их обойти.

И хотя разработчики плеера утверждают, что свидетельств активной эксплуатации уязвимостей они не видели, всем пользователям рекомендовано установить версию 3.0.12. Она выпущена одновременно для Windows, macOS и Linux.

Помимо этих багов новая версия исправляет целый ряд других ошибок и недочетов, в том числе тех, которые могли вызывать сбои в плеере в целом или в его отдельных модулях. Также реализована встроенная поддержка AppleSilicon/ARM-64.

Apple


Бензопила Mächtz: надежность и производительность для любых задач

Бензопила Mächtz: надежность и производительность для любых задач

Бензопилы являются незаменимым инструментом как для профессионалов, так и для тех, кто занимается бытовыми работами на участке. Если вы ищете высококачественную бензопилу, которая сочетает в себе надежность, мощность и удобство в использовании, стоит...

сегодня 11:27

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх